En esta guía vamos a explicar como monitorizar los intentos de inicios de sesión en nuestro Active Directory.
Por defecto, nuestro Active Directory almacena esta información en el visor de eventos. Podemos encontrar estos eventos buscando los mensajes con ID 4624 y ID 4625. Estos eventos corresponden a los inicios de sesión correctos y los inicios de sesión fallidos, respectivamente.
Script para monitorizar los inicios de sesión
Podemos utilizar el siguiente script en PowerShell para listar los inicios de sesión de un determinado usuario:
Get-EventLog -LogName Security -InstanceId 4624 |
Where-Object Message -match "nombre_de_usuario" |
Format-Table TimeGenerated,Message -AutoSize -Wrap
Si queremos listar el ultimo inicio de sesión, podemos utilizar el siguiente código:
Get-EventLog -LogName Security -InstanceId 4624 |
Where-Object Message -match "nombre_de_usuario" |
Select-Object -First 1 |
Format-Table TimeGenerated,Message -AutoSize -Wrap
Además, podemos utilizar estos códigos para generar alertas, mediante el programador de tareas, para que nos notifique cuando algún usuario concreto inicie sesión sobre algún servidor critico.
Espero que os sean útiles estos códigos en Powershell y dejad en comentarios si utilizáis algunos otros que puedan ser interesantes de incluir.